• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구멍 뚫린 쇼핑몰 신용카드 결제 시스템! 2012.04.18

인터넷쇼핑몰 가격 조작해 헐값으로...2억7천여만 원 상당 편취


[보안뉴스 오병민] 인터넷쇼핑몰의 결제시스템 허점을 이용해 제품가격을 조작해 고가의 제품을 헐값으로 사는 방법으로 2억 7천여만 원을 편취한 20대가 검거됐다.


서울지방경찰청 사이버범죄수사대는 인터넷 쇼핑몰 결제사이트에서 해킹 프로그램을 이용해 결제정보를 마음대로 바꿔 정가의 10% 이하(최저 0.001%~최고 10%) 가격에 물건을 산 뒤 되팔아 거액을 챙긴 혐의로 이모씨(20세,남)를 ‘상습컴퓨터등사용사기’ 등의 혐의로 구속하고, 보관 중이던 2,800만원 상당의 피해품 및 범행에 사용한 인터넷 PC 등 증거물 72점을 압수했다고 밝혔다.

 


피의자는 평소 네트워크 보안 전문가로 성공하기 위해 관련 분야에 관심을 갖고 있던 중 우연히 알게 된 인터넷 쇼핑몰 결제시스템의 취약점과 해킹프로그램을 이용해 25곳의 인터넷 쇼핑몰에서 물건의 구입가격을 조작하여 헐값으로 구매했다. 그 후, 구매한 물품을 개인용도로 사용하거나 이를 되파는 방법으로 지난해 1월부터 올해 4월 초까지 16개월간 521회에 걸쳐 2억 7천여만 원 상당을 편취한 것으로 밝혀졌다.


경찰은 추가 피해가 발생하지 않도록 피해 쇼핑몰에 대해 보안을 강화하도록 권고하고, 한국전자거래진흥원 등 관련기관에 전자결제시스템의 취약점을 통보하는 한편, 동일 유형의 범죄에 대해 지속적으로 단속을 강화해 나갈 방침이다.


피의자는 상당수 인터넷 쇼핑몰 사이트의 경우, PG사(전자결제대행업체)에서 결제 승인된 금액과 실제의 물품가격을 비교하지 않는다는 점에 착안해 범행을 진행했다.


피의자는 PG사 결제시스템에 물품가격 정보가 전달되기 전 9백만 원으로 표시된 상품의 금액을 단돈 9천원으로 조작하여 결제한 후 물품을 배송 받는 등 지난해 1월부터 최근까지 인터넷 쇼핑몰 25곳에서 521회에 걸쳐 2억 7천여만 원 상당의 물건을 주문했고, 이중 한 모바일 상품권 판매업체로부터는 1년 동안 380회에 걸쳐 정가의 10%만 지급하고 1억 9천만원 상당의 모바일 상품권을 부당 구매한 것으로 드러났다.


특히, 피의자는 결제시스템을 해킹해 소지한 휴대폰으로 충전받은 모바일 상품권을 중고거래 사이트 등에서 1억 원 이상 현금으로 바꾼 다음 자신의 예금계좌로 옮겨 유흥비 등으로 모두 소비한 것으로 파악되고 있다.


피의자는 가족에게 외국계 유명 IT 회사의 개발팀장으로 직장생활을 하고 있는 것처럼 숨기고, 범행수익금으로 해외여행 및 국내 유명 호텔 등을 자주 출입하는 등 호화로운 생활을 영위했다. 또한, 같은 수법으로 수입자동차 용품 판매 사이트를 해킹하여 4,200만원 상당의 수입타이어 및 오일류 등을 배송 받아 장기 리스로 구입한  고급 수입 스포츠카에 사용하여 취미생활로 자동차 경주를 한 사실까지 수사를 통해 확인됐다.


경찰은 이씨를 구속하고 해킹프로그램 또는 범행 수법이 타인에게 유출되거나 유사한 범죄가 더 있는지 계속 수사를 벌이고 있다.


인터넷 쇼핑몰 결제시스템의 문제점

쇼핑몰사이트의 물건 주문 페이지의 경우 암호화가 되어 있지 않아 전문 해커가 아니더라도 쉽게 주문결제정보를 조작할 수 있는 해킹에 노출된 상태이다.

 


대부분의 쇼핑몰은 결제대행사(PG)의 결제모듈을 이용하여 대금 결제를 받고 있으며, PG사의 경우 쇼핑몰에서 결제정보가 전송되면 실제의 물품가격과 비교 없이 승인만 해주고 있는 실정이어서 결제정보가 PG사로 전달되기 전 물품가격이 조작될 수 있다.


특히, 인터넷 쇼핑몰은 수많은 주문건수를 일일이 대조하지 않아 실제로 이같은 피해를 즉시 인식하지 못하고 있으며 이상 유무가 발견되더라도 단순한 내부전산오류 등으로 판단하고 있는 것이 현실이다.


개인이 운영하는 인터넷쇼핑몰이 급증하고 있는 가운데 PG사는 실제의 물품가격과 결제금액을 체크해 주는 기능을 쇼핑몰 측에 기본 제공하지 않고, 별도의 유료서비스 항목으로 제공하는데, 이에 대한 추가 비용을 줄이고자 상당수의 쇼핑몰은 이와 같은 가격정보 변조 여부를 확인하지 않고 있다.


인터넷 쇼핑몰 결제정보 해킹 예방 대책 필요

이번 사건을 계기로 쇼핑몰에서 결제요청 하는 페이지에 개발자 도구나 웹 보안관련 툴이 작동하지 않도록 하는 등 근본적인 보안대책이 수립되야 한다는 주장이 나오고 있다.


쇼핑몰은 PG사로부터 건네받은 최종 결제금액과 주문시 등록된 상품의 결제금액과 비교하여 다를 경우, 자동으로 결제가 취소되는 시스템 구축이 필요하고, PG사의 경우 해당 기능을 기본적으로 제공하도록 하는 제도 개선이 검토돼야 한다는 것.


이와 관련 보안업계의 한 전문가는 “인터넷상의 보안 허점이 범죄로 이어지는 경향이 점차 늘어나고 있다”면서 “특히 결제와 같은 금전거래에 영향을 미치는 분야는 보안이 더욱 강화돼야 할 것으로 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>